Kinas cyberspionage mot EU blottat – diplomatisk fnurra med Prag

En omfattande cyberspionagekampanj från Kina mot Tjeckiens kritiska infrastruktur har lett till en diplomatisk kris mellan Peking och EU. I slutet av maj anklagade Tjeckien offentligt Kina för långvariga dataintrång mot det tjeckiska utrikesdepartementet, en incident som får stora konsekvenser för cybersäkerheten i hela Europa.

Attacken: Två års hemligt spionage

Enligt den tjeckiska regeringen ligger den kinesiska statsstödda hackergruppen APT31 (även känd som Zirconium, Judgment Panda och Bronze Vinewood) bakom en ”illvillig cyberkampanj” som infiltrerat ett nätverk för oklassificerad kommunikation på utrikesdepartementet¹. Attackerna pågick från 2022 – just när Tjeckien innehade EU:s ordförandeskap – och syftade till att komma över diplomatiska hemligheter och information om Asienpolitik².

APT31 är allmänt känd inom säkerhetsbranschen för sina direkta kopplingar till Kinas ministerium för statssäkerhet (MSS)³. Gruppen har varit aktiv sedan åtminstone 2010 och specialiserar sig på att stjäla immateriella rättigheter, affärshemligheter och politisk information⁴.

Tekniska attackmetoder: Sofistikerad spionage

APT31 använder en sofistikerad arsenal av verktyg och tekniker för att genomföra sina cyberattacker. Gruppen är känd för att utnyttja sårbarheter i Java och Adobe Flash, använda spjutfiskekampanjer med skräddarsydda trojaner, och exploatera nolldag-sårbarheter⁵.

En särskilt viktig teknik är gruppens användning av komprometterade hemrouters för att skapa ett ”proxy-nät” som döljer ursprunget för deras attacker⁶. Genom att kapra tusentals routrar världen över kan APT31 få sina attacker att verka komma från målets eget land, vilket försvårar upptäckt och spårning avsevärt.

APT31 använder även molntjänster som Dropbox och Yandex.Disk som kommando- och kontrollservrar (C2), vilket gör det svårare att upptäcka skadlig trafik bland legitim webbanvändning⁷. Gruppens malware innehåller ofta VMProtect-packade nyttolaster och använder DLL Side-Loading-tekniker för att undkomma upptäckt.

Diplomatiska reaktioner eskalerar

Tjeckiens utrikesminister Jan Lipavský kallade upp Kinas ambassadör i Prag för att framföra en skarp protest. ”Sådana fientliga handlingar får allvarliga konsekvenser för våra bilaterala relationer,” sade Lipavský⁸. Efter upptäckten infört departementet ett helt nytt, säkrare kommunikationssystem.

Den kinesiska ambassaden avfärdade anklagelserna och klagade på Tjeckiens ”mikrofon-diplomati” – ett försök att tona ned incidenten offentligt⁹. Kina hävdade att bevisen mot APT31 var otillräckliga och oprofessionella, ett välkänt mönster när västländer pekar ut kinesiska hackerattacker.

EU och NATO sluter led

EU:s höga representant Kaja Kallas fördömde attacken och noterade att ”EU-medlemsstater i ökande grad varit mål för cyberattacker från Kina de senaste åren”¹⁰. Kallas gick längre än vanligt och varnade att EU är ”redo att införa kostnader” mot Kina som svar på attacken¹¹.

NATO kallade attacken ett exempel på oacceptabelt cyberspionage mot en allierad och betonade att ”vi observerar med växande oro det växande mönstret av skadlig cyberaktivitet från Folkrepubliken Kina”¹².

Svensk kontext: Ökad hotbild

För Sverige innebär denna incident att cybersäkerhetshotet från Kina nu är tydligt dokumenterat och eskalerar. Säkerhetspolisen (SÄPO) har redan identifierat Kina som ett ”ökande och långsiktigt hot mot Sverige” tillsammans med Ryssland och Iran¹³.

Historisk kontext för Sverige

Sverige har tidigare varit mål för kinesiska cyberattacker, bland annat i den så kallade ”Cloud Hopper”-kampanjen som pågick sedan 2014-2016, där APT10 (en annan kinesisk grupp) riktade sig mot svenska IT-tjänsteleverantörer¹⁴.

CERT-EU och ENISA har varnat EU-organisationer för flera kinesiska APT-grupper, inklusive APT31, som riktar sig mot företag och myndigheter i strategiska sektorer¹⁵. Sverige, som en teknologiskt avancerad nation med stark försvarsindustri, utgör exempelvis ett attraktivt mål för kinesisk cyberspionage.

Sårbarhetsbild i Sverige

Trots att Sverige har etablerat ett nationellt cybersäkerhetscenter lett av MSB, FRA, Försvarsmakten och SÄPO, visar rapporter att cyberattacker i Sverige har tredubblats jämfört med 2019-2020¹⁶. Sverige refereras till som ett av världens mest uppkopplade länder med över 93% av hushållen som har tillgång till internet, vilket samtidigt ökar attackytan¹⁷.

Tekniska rekommendationer för svenska organisationer

Baserat på APT31:s kända attackmetoder bör svenska myndigheter och företag prioritera följande åtgärder:

Nätverkssäkerhet

• Segmentering av nätverk för att begränsa lateral rörelse
• Förstärkt övervakning av nätverkstrafik, särskilt mot molntjänster
• Router-säkerhet – regelbunden uppdatering av hemrouters och företagsrouters för att förhindra kompromittering

E-post och kommunikation

• End-to-end-kryptering för all strategisk kommunikation
• Avancerad hot-skydd mot spjutfiske-kampanjer
• Användarskolning för att känna igen APT31:s vanliga locktaktiker

Sårbarhetshantering

• Snabb patchning av Java, Adobe Flash och VPN-lösningar som APT31 ofta exploaterar
• Zero day -beredskap genom prenumeration på hotinformation från CERT-SE
• Kontinuerlig sårbarhetsscanning av exponerade system

Detektering och respons

• Behavioral analysis för att upptäcka APT31:s ”low-and-slow” attackmetoder
• Cloud security monitoring för onormal aktivitet mot Dropbox, OneDrive etc.
• Incidentberedskap genom regelbunden övning av cyberattackscenarier

Större konsekvenser för EU:s cybersäkerhet

Tjeckiens offentliga anklagelse representerar en förändring i EU:s strategi mot kinesisk cyberspionage. Kaja Kallas hot om att ”införa kostnader” kan innebära allt från diplomatiska påtryckningar till ekonomiska sanktioner¹⁸.

Incidenten visar också vikten av CERT-EU:s varningssystem och behovet av förstärkt cybersäkerhetssamarbete inom EU. CERT-EU:s tidigare varningar om kinesiska APT-grupper får nu förnyad relevans då fler medlemsländer rapporterar liknande attacker¹⁹.

För svenska beslutsfattare innebär detta att investeringar i cybersäkerhet måste öka, både på nationell nivå och genom EU-samarbete. APT31:s långvariga kampanj mot Tjeckien visar att dessa hot inte är tillfälliga utan del av en systematisk strategi från Peking för att samla in strategisk information från EU-länder.

---

Källor:

1. Tjeckiska utrikesdepartementets officiella uttalande, 28 maj 2025
2. Reuters, ”Czech Republic says China behind cyberattack on ministry”, 28 maj 2025
3. The Hacker News, ”Czech Republic Blames China-Linked APT31 Hackers for 2022 Cyberattack”, 29 maj 2025
4. Reuters, ”APT31: the Chinese hacking group behind global cyberespionage campaign”, 26 mars 2024
5. Google Cloud, ”APT groups and threat actors”
6. The Record, ”Chinese hacking group APT31 uses mesh of home routers to disguise attacks”, 6 juli 2023
7. PT Security, ”APT31 new dropper. Target destinations: Mongolia, Russia, the U.S., and elsewhere”, 1 augusti 2022
8. AP News, ”Czech Republic accuses China of ’malicious cyber campaign'”, 28 maj 2025
9. Reuters, ”Czech Republic says China behind cyberattack on ministry”, 28 maj 2025
10. Reuters, ”EU stands in solidarity with Czech Republic after cyberattack blamed on China”, 28 maj 2025
11. Euronews, ”EU ’ready to impose costs’ on China over cyberattack against Czechia”, 28 maj 2025
12. NATO, ”Statement of solidarity concerning malicious cyber activities against Czech Republic”, 28 maj 2025
13. Säkerhetspolisen, ”Threats and vulnerabilities that affect Sweden’s national security”, 2022-23
14. The Local, ”Sweden targeted in global cyber attack”, 5 april 2017
15. SecurityWeek, ”EU Organizations Warned of Chinese APT Attacks”, 17 februari 2023
16. U.S. Trade, ”Sweden – Cybersecurity”
17. Cyberlands, ”Top 10 Cybersecurity Breaches in Sweden”
18. Euronews, ”EU ’ready to impose costs’ on China over cyberattack against Czechia”, 28 maj 2025
19. SecurityWeek, ”EU Organizations Warned of Chinese APT Attacks”, 17 februari 2023